Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 8
УПРАВЛІННЯ ДОСТУПОМ ДО РЕСУРСІВ
ВACTIVE DIRECTORY
1.Управління дозволами загальних папок та дозволами NTFS.
2.Створення та конфігурування об'єктів групової політики в Active Directory.
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. УПРАВЛІННЯ ДОЗВОЛАМИ ЗАГАЛЬНИХ ПАПОК ТА ДОЗВОЛАМИ NTFS.
При створенні будь-якого об'єкта системи безпеки (комп'ютер, користувач, група, домен, члени домену) система Windows генерує відповідні ідентифікатори SID.
Ще до того, як буде створена перша обліковий запис, Windows визначає кілька вбудованих користувачів і груп, включаючи облікові записи Адміністратор і Гість
Замість того, щоб генерувати нові випадкові ідентифікатори SID для цих облікових записів, Windows гарантує їх унікальність, додаючи до SID комп'ютера унікальні для кожного облікового запису числа, звані відносними ідентифікаторами (Relative Identifier, RID)
Проблема клонування комп'ютерів:
Якщо ви клонуєте комп'ютер, підключений до домену, то єдиний спосіб отримання унікальної доменної облікового запису - це виключеня комп'ютера зі складу домену, зміна його імені і зворотне включення його в домен.
Учасник безпеки - це обліковий запис або група з можливістю виконання перевірки автентичності
Ідентифікатор безпеки (SID) - являє собою набір алфавітно-цифрових знаків, що надається під час створення облікового запису або групи і визначає унікальність учасника безпеки.
Відносний ідентифікатор (RID) - частина ідентифікатора безпеки (SID) яка
унікально ідентифікує обліковий запис або групу в домені.
учасник безпеки |
SID |
||
|
|
|
|
S-1-5-21- 1454471165-
1004336348- 
RID
1606980848-
5555
Маркери |
- |
ідентифікують |
|
|
|
|
|||||
посвідчення користувача. Маркер |
|
|
|
|
|||||||
видаєтьсяпроцесу і визначає ті |
|
|
|
|
|||||||
права, якими володіє запущений |
|
|
|
М |
|||||||
|
|
|
|||||||||
|
|
|
|||||||||
процес |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
об'єкт
Дескриптори захисту -
інформація про захист, зіставлена зоб'єктом і вказує, кому і які дії дозволено виконувати над об'єктом
ДОЗВОЛИ
Дозволи:
•Правила, що дозволяють або забороняють доступ до об'єктів
•Використовуються для контролю доступу
ПРИЗНАЧЕННЯ ДОЗВОЛІВ
Права дозволити або заборонити доступ можуть бути призначені ресурсам (папка, принтер, файл)
Дозволи можуть бути призначені на локальні або доменні облікові записи
Дозволи можуть бути застосовані явно, успадковані, або застосовані неявно
КОНТРОЛЬ ДОСТУПУ
Список виборчого управління доступом (DACL)
DACL містить список користувачів і груп, яким дозволений або заборонений доступ до об'єкта
Кожен файл і папка на томі NTFS асоційовані з DACL
Список системного управління доступом (SACL)
SACL - список управління доступом, який використовується для аудиту доступу до об'єкту
Приклад контролю доступу (ACE)
Визначає кожне входження в DACL або SACL
Задає перелік SID для вирішення, заборони або аудиту доступу 
Якщо ACE не заданий в DACL, доступ до об'єкта заборонений
Основи планування та адміністрування служб доступу до інформаційних ресурсов
2. СТВОРЕННЯ ТА КОНФІГУРУВАННЯ ОБ'ЄКТІВ ГРУПОВОЇ ПОЛІТИКИ В
ACTIVE DIRECTORY
Групова політика - являє собою компонент Windows, який дозволяє управляти змінами і конфігурацією користувачів і комп'ютерів в центральній точці адміністрування.
Є потужним і ефективним засобом, що дозволяє задати параметри відразу для декількох користувачів і комп'ютерів. Крім того, групова політика застосовується для поширення та оновлення програмного забезпечення в організації.
Групова політика дозволяє IT фахівцям автоматизувати централізоване управління користувачами і комп'ютерами
Групова політика використовується для:
•Застосування стандартних налаштувань
•Розгортання програмного забезпечення
•Безумовного завдання налаштувань безпеки
•Забезпечення єдиного середовища роботи користувачів
ОБЛАСТЬ ДІЇ ГРУПОВИХ ПОЛІТИК
Локальні групові політики
Групові політики, що застосовуються до локального комп'ютера, або локальні групові політики. Ці політики налаштовуються в оснащенні "Редактор локальних групових політик» і застосовуються тільки до того комп'ютера, на якому вони були налаштовані. Вони не мають механізму централізованого розгортання і управління та, по суті, не є груповими політиками.
Групові політики доменів
Об'єкти групових політик, що застосовуються до домену Active Directory (AD) і
мають вплив на всі об'єкти, що мають відношення до даного домену. Оскільки в
рамках домену працює механізм успадкування, то все політики, призначені на домен, послідовно застосовуються і до всіх нижчестоящим контейнерів.
Групові політики підрозділи
Політики, які застосовуються до підрозділу (OU) і мають вплив на весь вміст даного OU і дочірніх OU (при їх наявності).
Групові політики сайтів
Об'єкти групової політики, застосовані до сайту AD, впливають на весь вміст цього сайту. Отже, групова політика, пов'язана з сайтом, застосовується до всіх користувачів і комп'ютерів сайту незалежно від того, до якого домену вони належать.